Mikrotik telnet команды

Сканирование портов

Затем мы проверим роутер MikroTik утилитой для сканирования портов Nmap со стороны внешнего интерфейса WAN, чтобы получить первичный список открытых портов и сервисов. Это будет нашей отправной точкой. Команда для запуска сканирования маршрутизатора:

nmap -A -T4 -Pn -v 192.168.88.181

Ниже мы разберем результаты сканирования портов и сервисов сетевого устройства. Мы уделим особое внимание открытым портам и службам, работающих на этих портах.

Открытые порты

Это открытые порты, обнаруженные во время сканирования утилитой Nmap:

Scanning 192.168.88.181 Discovered open port 21/tcp on 192.168.88.181 Discovered open port 53/tcp on 192.168.88.181 Discovered open port 23/tcp on 192.168.88.181 Discovered open port 80/tcp on 192.168.88.181 Discovered open port 22/tcp on 192.168.88.181 Discovered open port 2000/tcp on 192.168.88.181 Discovered open port 8291/tcp on 192.168.88.181

Знание основных портов и протоколов очень полезно при просмотре результатов сканирования, поэтому потратьте некоторое время на их изучение, если вы еще этого не сделали.

Обнаруженные сервисы

Ниже приведен список служб, запущенных на открытых портах, обнаруженных во время сканирования:

Host is up (0.012s latency). Not shown: 993 closed ports PORT STATE SERVICE VERSION 21/tcp open ftp MikroTik router ftpd 6.37.1 22/tcp open ssh MikroTik RouterOS sshd (protocol 2.0) | ssh-hostkey: | 1024 68:22:e5:37:be:d9:7f:76:e9:44:b8:7b:03:0b:07:66 (DSA) |_ 2048 5e:1c:a0:82:e7:a7:e8:bb:ba:a7:f4:0b:b6:b5:f5:eb (RSA) 23/tcp open telnet Linux telnetd 53/tcp open domain MikroTik RouterOS named or OpenDNS Updater 80/tcp open http MikroTik router config httpd | http-methods: |_ Supported Methods: GET HEAD | http-robots.txt: 1 disallowed entry |_/ |_http-title: RouterOS router configuration page 2000/tcp open bandwidth-test MikroTik bandwidth-test server 8291/tcp open winbox MikroTik WinBox Service Info: OSs: Linux, RouterOS; Device: router; CPE: cpe:/o:mikrotik:routeros, cpe:/o:linux:linux_kernel

Результат сканирования

Nmap обнаружил ряд проблем, которые требуют к себе нашего внимания. Маршрутизатор работает с несколькими незашифрованными протоколами и службами, без которых на данный момент можно обойтись. Служба FTP также дает злоумышленнику возможность точно узнать версию прошивки RouterOS, на которой работает наш роутер MikroTik. Мы также видим результат использования учетных записей, заданных по умолчанию. Если этот маршрутизатор был подключен к Интернету точно так же, как сейчас, он почти наверняка будет заражен эксплойтом вскоре после выхода в Интернет.

Сервисы

Как и в большинстве работающих сетях, мы предполагаем, что маршрутизатор будет управляться только через SSH и Secure-mode Winbox. Оба сеанса SSH и Winbox (начиная с версии 3.14) поддерживают шифрование, поэтому нам не нужно беспокоиться о перехвате учетных данных при работе с оборудованием. Сначала мы рассмотрим запущенные службы на маршрутизаторе, а затем отключим все службы, кроме SSH и Winbox. Наконец, мы снова сканируем устройство с помощью Nmap, чтобы убедиться, что изменения вступили в силу.

Просмотр запущенных служб

Проверим службы, запущенные на маршрутизаторе:

/ip service print

Такие службы, как Telnet, FTP и WWW, по своей сути являются небезопасными и не должны использоваться в производственных средах с учетом таких безопасных альтернатив, как SSH и HTTPS.

Отключение небезопасных служб

С помощью следующих команд можно отключить службы Telnet, FTP, HTTP и SOCKS и сервер проверки пропускной способности, который включен по умолчанию, а также отключим обработку удаленных DNS-запросов, передаваемые через внешний интерфейс маршрутизатора:

/ip service disable /ip service disable /ip service disable /ip service disable /ip service disable /ip service disable /tool bandwidth-server set enabled=no /ip dns set allow-remote-requests=no /ip socks set enabled=no

Убедитесь, что основные службы были отключены (отображается «X» перед именем службы), выполнив следующие действия:

/ ip service print

Мы также отключим серверы MAC Telnet и MAC Winbox. Они используются, чтобы предоставить администраторам доступ к маршрутизатору без назначенного IP-адреса, но по умолчанию включаются и запускаются на ВСЕХ интерфейсах – даже интерфейсах WAN. Пользователь в вашей локальной сети может подключаться к устройству через одну из служб MAC, и этот доступ должен быть ограничен как из внутренних, так и из внешних сетей. Мы полностью отключим эти службы, и предлагается повторно включить их только на специализированных интерфейсах управления.

/ tool mac-server set disabled = yes

/ tool mac-server mac-winbox set disabled = yes

/ ping для сервера mac-server enabled = no

Убедитесь, что другие службы также были отключены (отображается «X» перед именем службы), выполнив следующие действия:

/ mac-server print / mac-server mac-server tool / ping print mac-server tool

Мы отключим новую функцию RoMON, предполагая, что вы ее не используете. Если вы используете RoMON для управления устройствами, оставьте его включенным, но если вы его не используете, отключите его, чтобы уменьшить количество векторов атаки:

/ tool romon set enabled = no

Межсетевой экран MikroTik (Firewall)

Несмотря на уже сделанные изменения в конфигурации оборудования, злоумышленник может попытаться войти в систему с учетными данными администратора Mikrotik по умолчанию через Интернет с помощью SSH или Winbox. И попытка входа может быть успешной. Мы отключим доступ к сервисам управления и конфигурации со стороны WAN, добавив некоторые правила в список межсетевого экрана (Firewall). А затем создадим список адресов брандмауэра для блокировки Bogons. Богоны — это сетевые адреса, которые не связаны ни с одним бизнесом через Интернет, и, как правило, они не существуют, если кто-то не пытается изменить трафик и заставить его выглядеть так, как если бы он появился из вашей собственной сети. Команда Cymru поддерживает действительно фантастический список богонов, которые вы должны блокировать чтобы усилить безопасность вашего устройства Микротик.

Вот базовый список адресов bogon mikrotik:

/ip firewall address-list add address=192.168.0.0/16 list=Bogon add address=10.0.0.0/8 list=Bogon add address=172.16.0.0/12 list=Bogon add address=127.0.0.0/8 list=Bogon add address=0.0.0.0/8 list=Bogon add address=169.254.0.0/16 list=Bogon

Добавим правила для межсетевого экрана MikroTik

/ip firewall filter add chain=input comment=»Accept Established / Related Input» connection-state=established,related add chain=input comment=»Allow Management Input» src-address=10.1.157.0/24 add action=drop chain=input comment=»Drop Input» log=yes log-prefix=»Input Drop» add action=fasttrack-connection chain=forward comment=»Fast Track Established / Related Forward» connection-state=established,related add chain=forward comment=»Accept Established / Related Forward» connection-state=established,related add chain=forward comment=»Allow client LAN traffic out WAN» out-interface=ether1-gateway src-address=192.168.0.0/24 add action=drop chain=forward comment=»Drop Bogon Forward -> Ether1″ in-interface=ether1-gateway log=yes log-prefix=»Bogon Forward Drop» src-address-list=Bogon add action=drop chain=forward comment=»Drop All Forward»

Ведение журнала включено для пары правил: Drop Input и Drop Bogon Forward. Если кто-то пытается войти в систему, для расследования инцидентов мы хотим знать источник подключения.

Вход разрешен маршрутизатору из подсети управления, а все остальное должно быть сброшено в цепочке ввода. Единственные люди, которые должны пытаться напрямую обращаться к маршрутизатору, а не просто пересылать через него трафик, должны быть сетевыми администраторами, рабочие станции которых находятся в подсети управления. Если этот маршрутизатор принимал участие в организации туннелей GRE, EoIP или IPSEC, тогда необходимо будет добавить дополнительные правила ввода, чтобы можно было установить эти туннели, но это тема для отдельной статьи. Напишите в комментариях нужно ли писать отдельную заметку.

Полномочия

Теперь, когда мы (относительно) защищены снаружи, обеспечим пару вещей внутри маршрутизатора.

Штатная учетная запись Администратора

Сначала давайте установим пароль для пользователя admin по умолчанию, а затем изменим имя администратора на что-то другое, кроме «admin». Также у сетевых устройств не должно быть паролей, заданных производителем по умолчанию.

Так же, как в случае с переименованием учетной записи администратора на серверах Windows, рекомендуется переименовать пользователя-администратора Mikrotik в нечто иное, чем известный по умолчанию (admin):

/user set 0 password=UnathorizedAccessProhibited /user set 0 name=14bytes.ru.admin comment=»Default account — BACKUP ONLY»

Дополнительные учетные записи

Все администраторы маршрутизаторов должны иметь свои собственные логины для гранулирования прав доступа и логирования действий и использовать только эти логины для администрирования устройства. Учетная запись по умолчанию, которую нельзя удалить, должна использоваться только для целей входа в систему. Использование индивидуальных учетных записей требуется для каждого маршрутизатора.

Групповые учетные записи не должны настраиваться для использования на сетевом устройстве.

Создайте пользователя для каждого обращения к устройству администратора:

/user add name=eduard password=letonaulitse group=full comment=»Eduard @ 14bytes»

Пользователь, которого мы просто переименовали, должен использоваться только для целей резервного копирования, если другие учетные данные каким-то образом были потеряны или забыты. Это также позволяет быстро отключить доступ администратора при уходе, не затрагивая права доступа коллег.

Неблагоприятные учетные записи

Когда администратор покидает организацию, их доступ к маршрутизатору должен быть отключен, чтобы они не могли вносить какие-либо изменения в конфигурацию оборудования. Если администратор отправляется в отпуск или по каким-то причинам теряет доступ, также может быть хорошей идеей временно отключить его доступ на время в зависимости от требований к соблюдению безопасности.

Отключить учетную запись (можно повторно включить):

/user disable

Удалить аккаунт (нельзя восстановить):

/user remove

Неавторизованный доступ к сетевом устройствам должен быть отключен.

Исследование окружения

Еще одна лучшая практика — отключить обнаружение окружения. Что предотвратит от обнаружения вашего маршрутизатора Микротик другими устройствами, использующими протокол обнаружения компании MikroTik (NDP) или протокол обнаружения Cisco (CDP).

IPv4 Neighbor Discovery

Сначала мы отключим его по умолчанию для IPv4, поэтому, когда новые интерфейсы выйдут в сеть, они не будут участвовать в обнаружении соседями:

/ip neighbor discovery settings set default=no default-for-dynamic=no

Затем мы отключим его на каждом отдельном интерфейсе IPv4, который уже запущен, поскольку он по умолчанию включен на интерфейсах (даже WAN). Это особенно важно для организаций WISP, которые используют устройства Mikrotik в качестве CPE. Не отключая ND на стороне WAN, можно развернуть информацию об оборудовании одного клиента другому.

/ ip neighbor find set discover = no

Все остальные порты отключены, поэтому там ничего не произойдет. Как только это будет сделано, если у вас есть интерфейс в подсети управления / VLAN, это не помешает протоколам обнаружения работать только на этом интерфейсе.

IPv6 Neighbor Discovery

Обнаружение окружением можно отключить и для IPv6:

/ ipv6 nd set disabled = yes

Это может негативно сказаться на производительности вашей сети IPv6 – тестируйте перед внедрением в производство.

Фильтрация обратного пути

Мы также включим фильтрацию обратного пути Reverse Path Filtering (RPF), также известную как обратная маршрутизация пути. Эта функция снижает пакетный трафик, который кажется поддельным, то есть пакет, исходящий из заголовка подсети внутренней локальной сети, но с другим исходным IP-адресом, чем локальная сеть. Это очень часто встречается, когда рабочая станция заражена вирусом и теперь участвует в DDoS-атаке. Мы включим RPF в меню IP -> Settings:

/ip settings set rp-filter=strict

Было замечено, что функция фильтра обратного пути может вызывать проблемы, если маршрутизатор многопользовательский. К сожалению, реализация этой функции Mikrotik не позволяет включить фильтрацию обратного пути на определенных интерфейсах – только для всего устройства — поэтому следите за этим, если ваше устройство многопользовательское.

Сетевой элемент должен быть настроен на прием любого исходящего IP-пакета, который содержит незаконный адрес в поле исходного адреса через исходящий ACL, или путем включения одноадресной обратной переадресации в IPv6.

Предполагая, что вы можете реализовать RPF, сделайте это. Это может помочь ограничить влияние будущих масштабных DDoS-атак, если ваши внутренние хосты объединятся в бот-сети.

Синхронизация часов NTP

Мы также должны настроить на маршрутизаторе точное время путем синхронизации с сервером NTP, поэтому маршрутизатор (и, надеюсь, все остальные маршрутизаторы в организации) будет синхронизироваться с точными часами. Когда часы маршрутизатора неверны, любой анализ журналов или корреляция журналов становятся очень трудными, потому что меткам времени нельзя доверять. Установите для клиента NTP проект ru.pool.ntp.org:

/system ntp client set enabled=yes server-dns-names=ru.pool.ntp.org

Многие организации выбирают системы времени UTC, чтобы все временные метки соответствовали всем устройствам и не нужно перенастраивать оборудование для местного времени отдельно при анализе журнала. Это не требуется, но это помогает, если ваша организация охватывает несколько часовых поясов.

Сетевые устройства должны использовать по меньшей мере два сервера NTP для синхронизации времени.

>Настройка SNMP

Протокол SNMP позволяет осуществлять надежный мониторинг, но настройка SNMP, к сожалению, выходит за рамки данной статьи.

Выводы

Длительная безопасность устройств, mikrotik защита wan, и управление рисками означает не только настройку вышеописанных параметров. Но также мониторинг ваших устройств и регулярную проверку параметров, которые необходимо проверять регулярно. Безопасность — это не то, что вы делаете один раз, а затем никогда больше не задумываетесь. Это развивающийся процесс, который должен стать частью культуры вашей организации.

Поделиться Твитнуть Поделиться Класснуть Телеграфировать

Прочитано: 520

Хочу по аналогии с моими доверенными системами (Ubuntu 12.04/14.04 Server) подключаться и к устройствам Mikrotik задействуя ssh.

Все дальнейшие действия происходят на моей рабочей/домашней системе Ubuntu 12.04.5 Desktop amd64 ноутбука Lenovo ThinkPad E555.

Первым делом активирую службу удаленного безопасного подключения через SSH (port 22) (и FTP, port 21) на устройстве Mikrotik

ekzorchik@navy:~$ winbox – 192.168.1.9 – IP – Services – находим строку где присутствует надпись ssh & ftp и если строка затемнена активируем. Затем отключаемся от Mikrotik‘а.

Далее на системе Ubuntu генерируем/проверяем наличие пары публичного ключа хоста и приватного:

ekzorchik@navy:~$ ssh-keygen -t dsa

ekzorchik@navy:~$ ls .ssh/id_dsa*

.ssh/id_dsa .ssh/id_dsa.pub

После чего передаем публичный ключ на устройство mikrotik следующим образом:

ekzorchik@navy:~$ cp /home/ekzorchik/.ssh/id_dsa.pub iddsa

ekzorchik@navy:~$ ftp 192.168.1.9

Connected to 192.168.1.9.

220 ekzorchik FTP server (MikroTik 6.33.5) ready

Name (192.168.1.9:ekzorchik): ekzorchik

331 Password required for ekzorchik

230 User ekzorchik logged in

Remote system type is UNIX.

передаю файл публичного ключа на mikrotik:

ftp> put iddsa

local: iddsa remote: iddsa

200 PORT command successful

150 Opening ASCII mode data connection for ‘/iddsa’

226 ASCII transfer complete

605 bytes sent in 0.00 secs (13427.7 kB/s)

ftp> bye

221 Closing

подключаюсь к устройству mikrotik через winbox, открываю консоль командной строки и скопированный выше файл отпечатка системы Ubuntu 12.04.5 Desktop amd64 импортирую в хранилище ключей удаленного доверенного доступа устройства Mikrotik:

ekzorchik@navy:~$ winbox – 192.168.1.9 (Login: admin, Password = 712mbddr@) – New Terminal —

> user ssh-keys import public-key-file=iddsa

На заметку: если на устройстве Mikrotik заведен еще один пользователь с правами Администратора, то тогда нужно указать что публичный ключ с системы Ubuntu (на которой запускалась команда ssh-keygen -t dsa) применим для этого пользователя:

ekzorchik@navy:~$ ssh-keygen -t dsa

> user ssh-keys import public-key-file=iddsa user=ekzorchik

На заметку: импортировать ключ на устройстве Mikrotik можно также не подключаясь через winbox, а просто подключить из локальной сети посредством утилиты telnet:

ekzorchik@navy:~$ telnet 192.168.1.9

Trying 192.168.1.9…

Connected to 192.168.1.9.

Escape character is ‘^]’.

MikroTik v6.33.5 (stable)

Login: ekzorchik

> user ssh-keys import public-key-file=iddsa user=ekzorchik

> quit

Отлично, теперь продемонстрирую как будет происходить аутентификация с системы Ubuntu 12.04.5 Desktop amd64 на устройстве mikrotik при безопасном подключении через ssh:

ekzorchik@navy:~$ ssh -l ekzorchik 192.168.1.9

The authenticity of host ‘192.168.1.9 (192.168.1.9)’ can’t be established.

RSA key fingerprint is 38:67:29:0f:ad:91:6a:95:68:80:f7:4a:be:5c:61:2d.

Are you sure you want to continue connecting (yes/no)? Yes

Warning: Permanently added ‘192.168.1.9’ (RSA) to the list of known hosts.

ekzorchik@192.168.1.9’s password:

> system routerboard print

;;; Firmware upgraded successfully, please reboot for changes

to take effect!

routerboard: yes

model: 2011UiAS-2HnD

serial-number: 614A052CFEA6

firmware-type: ar9344

current-firmware: 3.24

upgrade-firmware: 3.24

Выхожу и пробую подключить еще раз, пароль при подключении спрашиваться не должен:

> quit

Connection to 192.168.1.9 closed.

ekzorchik@navy:~$ ssh -l ekzorchik 192.168.1.9

ekzorchik@192.168.1.9’s password:

хм, странно – а почему у меня все же происходит запрашивание пароля, опять документация по настройке врет или же просто многое якобы само собой разумеющееся опускается, я же в свою очередь хочу все для себя разобрать:

Оказалось все очень просто, до этого я обновлял устройство и по окончании процедуры не перезагрузил устройство, кстати в выводе выше как раз присутствует информационное сообщение, что устройство обновлено и для активации изменений его нужно перезагрузить. Перезагрузив, пробую подключиться и вуаля – подключение через ssh происходит без какого либо запроса пароля, как раз то что мне и нужно было:

ekzorchik@navy:~$ ssh -l ekzorchik 192.168.1.9

192.168.1.9 via ssh

> quit

Connection to 192.168.1.9 closed.

Еще интересным стоит выделить возможность подключившись выполнить команду не переходя всецело в консоль устройства Mikrotik:

ekzorchik@navy:~$ ssh ekzorchik@192.168.1.9 system routerboard print

routerboard: yes

model: 2011UiAS-2HnD

serial-number: 614A052CFEA6

firmware-type: ar9344

current-firmware: 3.24

upgrade-firmware: 3.24

ekzorchik@navy:~$ ssh ekzorchik@192.168.1.9 file print

# NAME TYPE SIZE CREATION-TIME

0 advanced-tools-6.32… package 100.1KiB jan/02/1970 05:05:55

1 skins directory jan/01/1970 03:00:01

2 auto-before-reset.b… backup 78.1KiB jul/27/2015 18:50:44

3 pub directory jan/02/1970 03:06:19

4 hotspot-6.32.1-mips… package 184.1KiB jan/02/1970 05:07:44

5 system-6.32.1-mipsb… package 6.8MiB jan/02/1970 05:08:01

6 ekzorchik-20151218-… backup 49.0KiB dec/17/2015 21:48:50

7 dhcp-6.32.1-mipsbe.npk package 168.1KiB jan/02/1970 05:07:35

8 autosupout.rif .rif file 491.7KiB jan/27/2016 14:16:47

посредством этой возможности можно сделать хоть и корявый но как на первый шаг сгодится скрипт, который будет делать бекап устройства, забирать/отправлять по почте/ftp бекап на доверенное хранилище.

А теперь если же нужно забрать с устройства Mikrotik к примеру конфигурационный файл устройства со всеми настройками или же просто бекап, то сделать это можно следующим образом:

> system backup save name=backup

Saving system configuration

Configuration backup saved

> file print

# NAME TYPE SIZE CREATION-TIME

0 skins directory jan/01/1970 07:00:02

1 disk4 disk dec/15/2015 18:30:44

2 Mikrotik_27012015.b… backup 13.0KiB jan/27/2016 20:17:52

3 backup.backup backup 13.0KiB jan/27/2016 20:19:56

ekzorchik@navy:~$ sftp ekzorchik@192.168.1.9:backup.backup

Connected to 192.168.1.9.

Fetching /backup.backup to backup.backup

/backup.backup 100% 13KB 13.0KB/s 00:00

ekzorchik@navy:~$ dir -sh backup.backup & file backup.backup

16K backup.backup

backup.backup: data

+ Готово dir -sh backup.backup

А если сделать маленький скрипт на системе Ubuntu посредством которого уже сделаем бекап на устройстве с генерирование текущей даты и времени и скопируем его себе на рабочую станцию:

ekzorchik@navy:~$ nano backup_192_168_1_9

#!/bin/bash

bfile=$(date +%d%m%y_%H_%M)

ssh admin@192.168.1.9 system backup save name=Backup192_168_1_9_$bfile

sftp admin@192.168.1.9:Backup192_168_1_9_$bfile.backup

ekzorchik@navy:~$ chmod +x backup_192_168_1_9

Запускаю данный скрипт:

ekzorchik@navy:~$ ./backup_192_168_1_9

Configuration backup saved

Connected to 192.168.1.9.

Fetching /Backup192_168_1_9_270116_17_03.backup to Backup192_168_1_9_270116_17_03.backup

/Backup192_168_1_9_270116_17_03.backup 100% 13KB 13.0KB/s 00:00

ekzorchik@navy:~$ dir -sh Backup192_168_1_9_270116_17_03.backup && file $_

16K Backup192_168_1_9_270116_17_03.backup

Backup192_168_1_9_270116_17_03.backup: data

Отлично — это полный бекап, а теперь нужно добавить еще в скрипт экспорт всех настроек в виде скрипта выполнив который при восстановлении произойдет восстановление функционала до рабочего уровня если вдруг что-то произошло (вышло из строя/неосторожная настройка и т.д.)

#!/bin/bash

bfile=$(date +%d%m%y_%H_%M)

efile=$(date +%d%m%y_%H_%M)

ssh admin@192.168.1.9 system backup save name=Backup192_168_1_9_$bfile

ssh admin@192.168.1.9 export file=Export192_168_1_9_$efile.rsc

sftp admin@192.168.1.9:Backup192_168_1_9_$bfile.backup

sftp admin@192.168.1.9:Export192_168_1_9_$efile.rsc

ekzorchik@navy:~$ ./backup_192_168_1_9

Configuration backup saved

Connected to 192.168.1.9.

Fetching /Backup192_168_1_9_270116_17_12.backup to Backup192_168_1_9_270116_17_12.backup

/Backup192_168_1_9_270116_17_12.backup 100% 16KB 15.9KB/s 00:00

Connected to 192.168.1.9.

Fetching /Export192_168_1_9_270116_17_12.rsc to Export192_168_1_9_270116_17_12.rsc

/Export192_168_1_9_270116_17_12.rsc 100% 244 0.2KB/s 00:00

ekzorchik@navy:~$ dir -sh Export192_168_1_9_270116_17_12.rsc && file $_

4.0K Export192_168_1_9_270116_17_12.rsc

Export192_168_1_9_270116_17_12.rsc: ASCII text, with CRLF line terminators

Ну вот уже лучше, не правда ли, я посредством скрипта и активированной возможности аутентификации на устройстве Mikrotik посредством публичного ключа с доверенного хоста провожу без парольный вход, делаю бекап и экспорт всех команд посредством которых настроено оборудование (применяется в целях изучения, а как сделать ту или иную настройку не через Winbox или же Web-интерфейс, а задействовав командную строку – так более продуктивно и приобретается опыт), как на устройство так и на локальную систему Ubuntu 12.04.5 Desktop amd64

Ну а что теперь, считаю данную заметку завершенной, в дальнейшем на основе этой я рассмотрю другую еще более интересную и практическу, а пока собственно все – с уважением автор блога, ekzorchik.

Гайд по Mikrotik RoMON

У всех бывали ситуации, когда необходимо настроить удаленное оборудование(иногда новое), а доступ имеется только к другим сетевым девайсам, никаких ПК/Ноутбуков и пользователей с телефонами. В случае с Mikrotik эту проблему можно решить двумя путями: встроенный в RouterOS mac-telnet и RoMON. О них и пойдет речь ниже.
Mac Telnet с роутера
Для тех кто забыл: Mac telnet работает на Layer2, поэтому подключение возможно в пределах одного сегмента сети.

Подключаемся по winbox или ssh к настроенному роутеру(Mkt1) и через него по mac-telnet к новому(Mkt2).
Где найти mac-telnet:
* -> — если включено обнаружение соседей
* -> — если на новом роутере есть какой-то ip и он резолвится в mac
* -> — тут помимо mac-telnet есть обычный telnet и ssh
* /tool mac-telnet — из консоли


Что стоит помнить: если на устройстве присутствует дефолтная конфигураци, то mac-telnet будет доступен только на lan портах(все кроме ether1, обычно), так что явно говорите монтажникам куда подключать кабель, иначе никакой mac-telnet и RoMON вам не поможет.
Доступ есть, можно настраивать, но ведь хочется удобства? Особенно при настройке деревьев очередей и большого числа правил фаервола.
Подключение через RoMON
RoMON(Router Management Overlay Network) — Возможность использовать одно устройство mikrotik к которому есть доступ по ip в качестве транзита для подключения к устройству по mac.
RoMON отключен по умолчанию. Клиентская часть встроена в winbox, так что ничего доустанавливать не потребуется.
Настройка на транзитном роутере (Mkt1):
->
* Enabled — Включение RoMON
* ID — Ручная установка RoMON ID, по умолчанию выбирается один из mac адресов роутера
* Secrets — Набор паролей для аутентификации по RoMON, используются, если явно не указан пароль на порту. На wiki подробна расписана процедура выбора пароля.
->->
По дефолту включены ВСЕ порты, что не особо безопасно и отключить all не представляется возможным, так что устанавливаем у него Forbid=yes, более точные правила для интерфейсов перекроют all.
Создаем правило для ether4:
* Interface — порт для которого производим натсройки
* Forbid — запретить работу RoMON на интерфейсе
* Cost — учитывается при построении пути в больших герляндах
* Secrets — Набор паролей для аутентификации

Консольный вариант:

/tool romon set enabled=yes id=00:00:00:00:00:10 /tool romon port set forbid=yes add disabled=no interface=ether4 secrets=test-for-romon
Настройка на удаленном роутере (Mkt2):
Тут у нас подключение по mac-telnet, так что и настройки будут консольными:
/tool romon set enabled=yes id=00:00:00:00:00:20 /tool romon port set forbid=yes add disabled=no interface=ether5 secrets=test-for-romon
Теперь в ->-> на Mkt1 мы видим соседа:

И еще одного соседа, который подключен транзитом через Mkt2, оставляю настройку этого соединения в качестве самостоятельного задания, все аналогично.
Подключение
Запускаем Winbox и коннектимся к 2.2.2.2 в режиме RoMON используя обычную учетную запись и пароль, secrets в RoMON относится только к связи между роутерами:

И тут мы видим самое интересное — все роутеры в цепочке RoMON доступны для подключения через единственный транзитный Mikrotik.
Выбираем один из адресов(RoMON ID) и подключаемся к интересующему роутеру.
Итог: Получаем прозрачный доступ до всех роутеров в цепочке, без необходимости последовательного логина через mac-telnet.
Дополнительно
->-> — утилита для пинга роутеров по RoMON ID.
Обычный mac-telnet не является безопасным каналом связи, при наличии RoMON можно устанавливать ssh подключение по RoMON ID.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *